Hackere forsøker å skjule skadelig programvare i Microsofts hjelpefiler

Prøver av Vidar-tyverens skadevare er funnet på et sted som virker svært usannsynlig. Skadevaren ble oppdaget av forskere i Microsoft HTML-baserte hjelpefiler, av alle steder.

En sikkerhetsforsker med Trustwave publiserte et blogginnlegg som beskriver kampanjen som spredte Vidar. Denne siste kampanjen ble beskrevet som ganske rudimentær, bortsett fra vrien med å stikke skadelig programvare i hjelpefiler.

Kjedelig lokkemiddel, smart tilsløring

Phishing-e-postene som brukes til å spre Vidar infostealer ser ut som om de er et produkt av en minimumsinnsatskampanje. Lokken er ekstremt grunnleggende, med e-posten som hevder å ha "viktig informasjon" for det potensielle offeret. Som tilfellet er med nesten alle phishing-kampanjer, inneholder e-posten også et ondsinnet vedlegg. I dette tilfellet valgte hackerne en .iso diskbildefil, omdøpt til å se ut som en MS Word .doc-fil.

Inne i bildefilen er det bare to filer - en Microsoft hjelpefil kalt "pss10r.chm" og en fil kalt "app.exe", som er Vidars første nyttelast. CHM-filer er Microsoft hjelpefiler som brukes i ulike legitime applikasjoner og inneholder komprimert HTML og potensielt bilder.

Grunnen til at hackere tok til å bruke CHM-filer er at det lar dem tvinge inn MS Help Viewer-applikasjonen i ferd med å åpne CHM-filen. Når en CHM-fil med skadelig programvare åpnes på denne måten, kalles den kjørbare Help Viewer opp stille og brukes til å laste app.exe innledende nyttelast for Vidar.

Når den kjørbare filen er lansert, henter skadevaren sine avhengigheter og innstillinger fra C&C-serveren. Når dette er gjort, vil skadelig programvare skrape all tilgjengelig informasjon fra systemet og deretter overføre den tilbake til kommando- og kontrollserveren. Forskere bemerket at de har observert lignende nesting av ondsinnede nyttelaster og til og med bruk av hjelpefiler før. Alt dette er bare en annen måte for hackere å prøve å unngå automatisert gjenkjenning på offerets system så lenge som mulig.